论文部分内容阅读
【摘 要】随着数字化安全仪控系统的广泛应用,安全仪控系统软件的验证与确认工作成为必不可少的工作。本文对AP1000安全仪控系统PMS的软件V&V流程及各阶段主要任务进行了介绍与思考。
【关键词】安全仪控系统;验证与确认V&V;
1.引言
数字化安全仪控系统结合数字化DCS系统集计算、控制、通讯、显示于一体的特点在核电站逐步得到应用。由于安全仪控系统高可靠性要求,核级软件必须经过独立V&V过程才能应用于核电站的安全功能。
根据IEC标准60880的定义,安全仪控系统的V&V活动分别代表Verification和Validation.其中Verification验证,通过并提供可观证据来验证项目活动满足目标要求;Validation确认,主要通过检查和测试的手段来确认(系统/设备功能,响应时间、故障容错,robustness)满足系统规格书的要求。
IEC标准60880和IEEE标准1012对V&V的主要要求是:每份技术文件出版前必须被原设计人以外的另一个团队进行检查;必须覆盖设计文件内的所有文件,内容包括文件的格式和技术内容。
AP1000安全仪控系统软件V&V主要分为以下步骤:
V&V标准规范确定;
部门组织机构的确定;
各阶段V&V执行;
V&V总结报告。
2.标准规范
核电厂安全法规和标准是进行安全级数字化仪控系统设计的重要依据,V&V标准规范确定是否适当直接影响后续V&V任务的执行。AP1000在软件V&V阶段选定标准为IEEE1012(软件的鉴定和认证)。
AP1000将软件完整性等级分为四级:保护、安全重要、可用重要和一般重要,并与IEEE1012-1998中的标准等级对应,依次为高、主要、中等、低。根据等级不同,完成不同的V&V项目。
3.V&V部门组织机构
AP1000项目设计方成立专门的V&V部门,与设计部门完全独立,其成员不参与任何设计部门的活动,在行政和经济上均独立于设计部门,向上由技术部门经理管辖。
V&V部门在安全仪控COM Q平台上执行软件确认、验证和配置管理。如果由设计部门执行软件验证测试,V&V部门必须通过文件记录审查和测试过程见证的方式以对整个过程验证监督。
4.V&V过程执行
V&V部门依据选定的法规标准,利用系统性方法验证软件符合客户的要求及相应的工业标准和法规要求,以达到尽早发现问题以减少纠正错误成本,增加系统的可靠性和可用性。
软件生命周期可简单划分为:计划、需求分析、设计、编码、测试、运行和维护等阶段。软件开发是循环和重复的过程,每个阶段都可能引入错误,都需要进行软件V&V,以尽早发现提高系统经济性。在系统集成测试阶段可通过回归测试,对软件问题进行集中升级处理。
图一 软件生命周期模型图
(1)概念阶段V&V
概念设计以用户需求、建議和合同作为基础。AP1000安全仪控软件概念阶段V&V主要包括:审查概念设计文件的一致性、兼容性且符合法规标准;确定与接口系统的主要限制条件、系统的限制和约束、软硬件功能分配及每个软件的关键程度均满足设计要求。
(2)需求阶段V&V
此阶段为了确定软件需求是否完整、准确、清晰、可追溯、可测试。V&V部门审查系统硬件、软件和子系统之间的相互关系,对系统设计和开发过程中的目标和需求是否清晰定义,以确保整个系统满足要求。主要包括:评估系统硬件、软件和子系统的需求分配是否适当;评估完成系统目标的可行性;确保设计需求完整、准确、可测试且表述清晰;执行软件安全需求分析,包括安全要求和风险、设计约束条件和原则、测试要求、设计的规定和经验。
(3)设计阶段V&V
设计阶段的验证主要是依照设计执行前确定设计说明书清晰、准确、完整地转化了设计需求。设计说明书应提供详细的系统结构、数据流、处理步骤及其它必须完成项,以满足系统详细设计及后续工作需求。
(4)编码阶段V&V
此阶段主要任务为:确定编码文件清晰、可理解、逻辑正确,并全由设计规范转化而来;审查已完成的软件文件,确保编译完成的软件完整、正确地执行了设计规范;对执行软件的逻辑、数据、接口、约束条件、编码格式等方面进行软件编码安全分析;审查软件模块测试报告和单元测试报告;审查程序编码和相关数据库、硬件和配置的软件程序是否正确;评估软件配置管理、审查软件测试记录,保证执行了适当的结构测试。
(5)测试阶段V&V
AP1000安全仪控系统软件测试主要包括软件元件测试、处理器模块测试和软硬件集成后的通道集成测试、系统集成测试。
此阶段主要任务:在验证过的硬件上确认软件程序可用;编写测试程序,包括测试方法、测试标准、测试特殊要求、测试错误的应对策略;根据V&V规程进行测试;生成测试文件和报告;跟踪系统的设计变更和修正,对执行步骤进行可追溯性审查。
(6)安装及检验阶段V&V
该阶段检查系统安装包,以保证用于安装和运行的所有必要文件都完整正确地包括在安装包中。主要任务包括:审查安装程序和用户手册;审查用户培训资料;准备并发布最终的V&V报告,报告包括所有审查记录文件清单、缺陷及纠正活动清单、基于V&V结果的系统评估、系统升级的建议及意见;审查设计部门执行的需求可追溯性分析。
(7)运行和维护阶段V&V
软件安装后,某些情况下可能需要额外的V&V活动,主要包括:由于硬件修改而造成的软件变更;为提高性能而进行的软件修改;发现需要修改的软件错误。
5.AP1000软件V&V报告
V&V报告是用来记录整个验证过程的文档记录。在软件生命周期中每个阶段均应存在该报告,用于验证和确认过程和结果符合要求,并且达到了V&V目的。主要包括V&V阶段性总结报告,对总体性情况进行描述;不符合项报告,应记录V&V过程中发现的所有不符合项目;最终V&V报告,该报告在最后阶段发布,记录整个生命周期内的V&V活动,包括任务概述、结论概述,发现的不符合项及应对措施、整个系统和软件的品质评估、优化建议和代码证书。
6.关键V&V任务
在整个V&V过程中,以下几个为关键任务:
(1)完整性分析
基于前一阶段分析得出的安全性等级并结合本阶段所获取信息,对软件模块的完整性进行判定,软件完整性等级将决定下一阶段中针对该软件所需开展的活动项目。
(2)需求追溯性分析
对本阶段与上一阶段要素间的一致性、完整性和正确性进行追溯性分析,力求上一阶段要求在本阶段正确完整体现,且未引入额外的内容。
(3)缺陷分析
在概念阶段可通过故障树等多种方法确定系统缺陷,评估其严重性、发生概率等。在其后每个阶段的缺陷分析活动中,均需对每项缺陷的后续处理进行分析,以确定该系统已明确地制定了相应的措施来缓解或消除该缺陷,同时该措施已正确设计,且未在该过程中引入新缺陷。
7.结束语
本文对AP1000安全仪控系统的V&V从建标到完成报告流程进行了介绍。建议参与V&V的业主人员熟悉相关法规标准,制定良好的工作计划,熟悉各阶段任务和完成方法,提供保留足够的文档记录,对安全仪控系统后续软件需求的可追溯性、软件运行可用可靠性具有重要意义。
AP1000采用COM Q作为安全仪控系统软件平台,在核电业内供借鉴经验较少。根据国内同行经验,软件V&V工作需要有丰富的系统应用与接口工艺系统知识的人员,才便于在该过程发现问题并提出合理可行的方案,这对后续项目核电机组的安全仪控软件V&V工作将有重要借鉴意义。
(作者单位:山东核电有限公司)
【关键词】安全仪控系统;验证与确认V&V;
1.引言
数字化安全仪控系统结合数字化DCS系统集计算、控制、通讯、显示于一体的特点在核电站逐步得到应用。由于安全仪控系统高可靠性要求,核级软件必须经过独立V&V过程才能应用于核电站的安全功能。
根据IEC标准60880的定义,安全仪控系统的V&V活动分别代表Verification和Validation.其中Verification验证,通过并提供可观证据来验证项目活动满足目标要求;Validation确认,主要通过检查和测试的手段来确认(系统/设备功能,响应时间、故障容错,robustness)满足系统规格书的要求。
IEC标准60880和IEEE标准1012对V&V的主要要求是:每份技术文件出版前必须被原设计人以外的另一个团队进行检查;必须覆盖设计文件内的所有文件,内容包括文件的格式和技术内容。
AP1000安全仪控系统软件V&V主要分为以下步骤:
V&V标准规范确定;
部门组织机构的确定;
各阶段V&V执行;
V&V总结报告。
2.标准规范
核电厂安全法规和标准是进行安全级数字化仪控系统设计的重要依据,V&V标准规范确定是否适当直接影响后续V&V任务的执行。AP1000在软件V&V阶段选定标准为IEEE1012(软件的鉴定和认证)。
AP1000将软件完整性等级分为四级:保护、安全重要、可用重要和一般重要,并与IEEE1012-1998中的标准等级对应,依次为高、主要、中等、低。根据等级不同,完成不同的V&V项目。
3.V&V部门组织机构
AP1000项目设计方成立专门的V&V部门,与设计部门完全独立,其成员不参与任何设计部门的活动,在行政和经济上均独立于设计部门,向上由技术部门经理管辖。
V&V部门在安全仪控COM Q平台上执行软件确认、验证和配置管理。如果由设计部门执行软件验证测试,V&V部门必须通过文件记录审查和测试过程见证的方式以对整个过程验证监督。
4.V&V过程执行
V&V部门依据选定的法规标准,利用系统性方法验证软件符合客户的要求及相应的工业标准和法规要求,以达到尽早发现问题以减少纠正错误成本,增加系统的可靠性和可用性。
软件生命周期可简单划分为:计划、需求分析、设计、编码、测试、运行和维护等阶段。软件开发是循环和重复的过程,每个阶段都可能引入错误,都需要进行软件V&V,以尽早发现提高系统经济性。在系统集成测试阶段可通过回归测试,对软件问题进行集中升级处理。
图一 软件生命周期模型图
(1)概念阶段V&V
概念设计以用户需求、建議和合同作为基础。AP1000安全仪控软件概念阶段V&V主要包括:审查概念设计文件的一致性、兼容性且符合法规标准;确定与接口系统的主要限制条件、系统的限制和约束、软硬件功能分配及每个软件的关键程度均满足设计要求。
(2)需求阶段V&V
此阶段为了确定软件需求是否完整、准确、清晰、可追溯、可测试。V&V部门审查系统硬件、软件和子系统之间的相互关系,对系统设计和开发过程中的目标和需求是否清晰定义,以确保整个系统满足要求。主要包括:评估系统硬件、软件和子系统的需求分配是否适当;评估完成系统目标的可行性;确保设计需求完整、准确、可测试且表述清晰;执行软件安全需求分析,包括安全要求和风险、设计约束条件和原则、测试要求、设计的规定和经验。
(3)设计阶段V&V
设计阶段的验证主要是依照设计执行前确定设计说明书清晰、准确、完整地转化了设计需求。设计说明书应提供详细的系统结构、数据流、处理步骤及其它必须完成项,以满足系统详细设计及后续工作需求。
(4)编码阶段V&V
此阶段主要任务为:确定编码文件清晰、可理解、逻辑正确,并全由设计规范转化而来;审查已完成的软件文件,确保编译完成的软件完整、正确地执行了设计规范;对执行软件的逻辑、数据、接口、约束条件、编码格式等方面进行软件编码安全分析;审查软件模块测试报告和单元测试报告;审查程序编码和相关数据库、硬件和配置的软件程序是否正确;评估软件配置管理、审查软件测试记录,保证执行了适当的结构测试。
(5)测试阶段V&V
AP1000安全仪控系统软件测试主要包括软件元件测试、处理器模块测试和软硬件集成后的通道集成测试、系统集成测试。
此阶段主要任务:在验证过的硬件上确认软件程序可用;编写测试程序,包括测试方法、测试标准、测试特殊要求、测试错误的应对策略;根据V&V规程进行测试;生成测试文件和报告;跟踪系统的设计变更和修正,对执行步骤进行可追溯性审查。
(6)安装及检验阶段V&V
该阶段检查系统安装包,以保证用于安装和运行的所有必要文件都完整正确地包括在安装包中。主要任务包括:审查安装程序和用户手册;审查用户培训资料;准备并发布最终的V&V报告,报告包括所有审查记录文件清单、缺陷及纠正活动清单、基于V&V结果的系统评估、系统升级的建议及意见;审查设计部门执行的需求可追溯性分析。
(7)运行和维护阶段V&V
软件安装后,某些情况下可能需要额外的V&V活动,主要包括:由于硬件修改而造成的软件变更;为提高性能而进行的软件修改;发现需要修改的软件错误。
5.AP1000软件V&V报告
V&V报告是用来记录整个验证过程的文档记录。在软件生命周期中每个阶段均应存在该报告,用于验证和确认过程和结果符合要求,并且达到了V&V目的。主要包括V&V阶段性总结报告,对总体性情况进行描述;不符合项报告,应记录V&V过程中发现的所有不符合项目;最终V&V报告,该报告在最后阶段发布,记录整个生命周期内的V&V活动,包括任务概述、结论概述,发现的不符合项及应对措施、整个系统和软件的品质评估、优化建议和代码证书。
6.关键V&V任务
在整个V&V过程中,以下几个为关键任务:
(1)完整性分析
基于前一阶段分析得出的安全性等级并结合本阶段所获取信息,对软件模块的完整性进行判定,软件完整性等级将决定下一阶段中针对该软件所需开展的活动项目。
(2)需求追溯性分析
对本阶段与上一阶段要素间的一致性、完整性和正确性进行追溯性分析,力求上一阶段要求在本阶段正确完整体现,且未引入额外的内容。
(3)缺陷分析
在概念阶段可通过故障树等多种方法确定系统缺陷,评估其严重性、发生概率等。在其后每个阶段的缺陷分析活动中,均需对每项缺陷的后续处理进行分析,以确定该系统已明确地制定了相应的措施来缓解或消除该缺陷,同时该措施已正确设计,且未在该过程中引入新缺陷。
7.结束语
本文对AP1000安全仪控系统的V&V从建标到完成报告流程进行了介绍。建议参与V&V的业主人员熟悉相关法规标准,制定良好的工作计划,熟悉各阶段任务和完成方法,提供保留足够的文档记录,对安全仪控系统后续软件需求的可追溯性、软件运行可用可靠性具有重要意义。
AP1000采用COM Q作为安全仪控系统软件平台,在核电业内供借鉴经验较少。根据国内同行经验,软件V&V工作需要有丰富的系统应用与接口工艺系统知识的人员,才便于在该过程发现问题并提出合理可行的方案,这对后续项目核电机组的安全仪控软件V&V工作将有重要借鉴意义。
(作者单位:山东核电有限公司)